Etant donné le tumultueux cyber-environnement dans lequel nous vivons aujourd’hui, les organisations deviennent de plus en plus conscientes de l’importance de la protection des endpoints liés au réseau. Une étude Ponemon a révélé que le coût d’une violation de données aux Etats Unis en 2014 était d’environ 12,7 millions $ ̶ une prise de conscience pour toutes les entreprises qui doivent donc se concentrer sur la protection de leurs données sensibles et, en même temps, faire face à l’invasion des appareils personnells à l’intérieur de leur périmètre réseau.
Le nombre moyen d’appareils utilisés par un employé a considérablement augmenté au cours de la dernière décennie et, sans surprise, le nombre de problèmes de sécurité qu’ils peuvent engendrer a suivi. Ces dispositifs sont soit fournit par l’organisation soit appartiennent au personnel (compte tenu de la tendance BYOD – abréviation de l’anglais « bring your own device » ; en français : PAP, abréviation de « prenez vos appareils personnels ») et, lorsqu’ils sont connectés au réseau créent un risque important pour les entreprises de toutes tailles. La sécurisation de tous les endpoints, qui peuvent varier de l’ordinateur de bureau, ordinateurs portables, smartphones, tablettes jusqu’à l’équipement spécialisé, peut être une tâche difficile, en effet, en particulier compte tenu des nouvelles possibilités qu’elles offrent aux pirates qualifiés, au détriment de l’organisation elle-même.
La sécurité endpoint est un système de gestion de la sécurité basée sur un logiciel qui se trouve sur un serveur géré centralement ou sur un serveur passerelle (host gateway), au-dessus du logiciel client préexistant sur chaque endpoint. Son objectif est d’identifier, de gérer et de contrôler les dispositifs qui tentent d’accéder au réseau de l’entreprise. Les éléments requis pour une connexion réussie peuvent inclure un système d’exploitation légitime, un client VPN et un antivirus à jour. Si ces conditions de base ne sont pas respectées, les appareils bénéficient d’un accès restreint ou sont même mis en quarantaine sur un réseau local virtuel (VLAN). Quel que soit le modèle de prestation, avec la sécurité endpoint, le serveur hôte doit: 1. valider les informations d’identification des utilisateurs; 2. analyser les périphériques pour s’assurer qu’ils respectent la politique de sécurité; et 3. mettre à jour le logiciel si nécessaire. Cependant, lors de la livraison en mode SaaS (Software as a Service), le serveur hôte et le logiciel d’accompagnement doivent être mises à jour par le vendeur.
Le logiciel de protection fournie est, en fait, un regroupement de plusieurs logicielles, un ensemble de produits qui sont normalement autonomes. La technique de regroupement et le choix des produits diffèrent d’un fournisseur à l’autre. Cette combinaison de techniques est intégrée dans un seul produit, destiné à détecter les comportements malveillants et réagir en conséquence (soit en bloquant le trafic réseau suspect ou en empêchant une application d’être exécutée). Néanmoins, les capacités de ses produits les plus souvent rencontrées (antimalware, pare-feu basé sur l’hôte, évaluation de la vulnérabilité, etc.) ne sont pas exhaustives. Pour voir pourquoi, consultez notre précédent article sur le besoin pressant du Security Analytics.
Cela étant dit, d’une part, les avantages évidents de cette approche sont: de bloquer les attaques 0-day, offrir une couverture forensique de base et protéger les systèmes en ligne et hors ligne. D’autre part, les inconvénients de cette solution résident dans le déploiement et la gestion du logiciel agent, lourd en termes de ressources, car il nécessite une configuration manuelle, le suivi et la mise à jour. En conséquence, la sécurité des endpoints devient difficile à mettre en œuvre dans les entreprises qui souhaitent adopter une politique BYOD. En d’autres termes: efficaces, mais pas efficients.
Franchissant une étape supplémentaire dans le sens de la pleine efficacité, ITrust a créé Reveelium, une solution sans agent, conçue pour éviter la surcharge des endpoints ainsi que pour aider les entreprises à développer une véritable architecture analytique. Reveelium est capable d’identifier les symptômes de tous les comportements malveillants grâce à son système automatisé de détection d’anomalies. Construit comme une technologie multi-dimensionnelle Big Data, Reveelium comprend: un moteur de détection des signaux faibles, qui est le fruit de recherches avancées en algorithmes statistiques et en intelligence artificielle. Ses résultats sont enrichis par un moteur de corrélation qui intègre des détecteurs spécialisés et des règles issues de l’expertise des ingénieurs et des consultants de sécurité d’ITrust. Le système s’appuie enfin sur une base de connaissance globale, la « mémoire » de Reveelium, qui identifie et collecte les comportements de tous les Reveelium des clients, afin de faire bénéficier chacun d’eux de l’expérience des autres.
Reveelium permet non seulement de détecter en temps réel les comportements qui dévient de la norme, mais c’est également une solution non-intrusive de type Plug & Play, qui n’a pas besoin d’être maintenue par une source externe. Facilement combinée avec des outils préinstallés, avec une capacité de détection accrue et un taux faible de faux positifs, Reveelium peut également être livrée en mode SaaS.